Кибербезопасность (კიბერუსაფრთხოება) в Грузии регулируется Законом о кибербезопасности 2012 года и Законом о защите персональных данных (პერსონალური მონაცემების დაცვის შესახებ კანონი) 2011 года с поправками 2023 года. По состоянию на май 2026 года надзор осуществляет Служба государственной безопасности Грузии через Национальный центр кибербезопасности (CERT Georgia), а контроль за обработкой персональных данных - Инспекция по защите персональных данных (პერსონალური მონაცემების დაცვის ინსპექცია). Для бизнеса в Грузии несоблюдение требований влечёт штрафы до 20 000 лари и уголовную ответственность должностных лиц.
Статья построена как чек-лист: каждый пункт - самостоятельное требование с правовым основанием, сроком и последствием за нарушение. Материал ориентирован на in-house counsel, CFO и country manager международных компаний с офисом или операциями в Грузии.
Пункт 1. Правовая база: какие законы применяются к вашей компании в Грузии
Грузинское законодательство в сфере кибербезопасности применяется ко всем компаниям, обрабатывающим данные на территории Грузии, независимо от юрисдикции регистрации. Закон о защите персональных данных распространяется на любую компанию, которая собирает, хранит или передаёт персональные данные граждан или резидентов Грузии. Закон о кибербезопасности дополнительно охватывает операторов критической информационной инфраструктуры - банки, телеком, энергетику, здравоохранение, государственные информационные системы.
Три ключевых нормативных акта для бизнеса:
- Закон о защите персональных данных (2011, ред. 2023) - обработка, хранение, передача данных физических лиц
- Закон о кибербезопасности (2012) - требования к операторам критической инфраструктуры и государственным системам
- Трудовой кодекс Грузии (2010, ред. 2020) - ограничения на мониторинг работников и обработку их персональных данных
Компании, работающие в режиме Virtual Zone (VZ) или International Company Status (ICS), не освобождены от требований по защите данных - налоговые льготы не отменяют обязательства по персональным данным.
Важно: Если ваша компания обрабатывает данные граждан ЕС или Великобритании, параллельно применяется GDPR или UK GDPR. Грузинское законодательство не освобождает от экстерриториального действия GDPR. Нарушение GDPR при отсутствии надлежащего DPA (соглашения об обработке данных) с грузинским контрагентом может повлечь штраф до 4% от глобального оборота компании.
Чтобы получить чек-лист комплаенс-требований по защите данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Пункт 2. Регистрация обработки персональных данных в Инспекции
Компании, обрабатывающие персональные данные в Грузии, обязаны уведомить Инспекцию по защите персональных данных до начала обработки - это требование статьи 25 Закона о защите персональных данных. Уведомление подаётся через портал pdp.gov.ge. Срок регистрации - до 10 рабочих дней с момента начала обработки данных. Государственная пошлина за регистрацию не взимается.
Что подлежит регистрации:
- Базы данных клиентов, содержащие имя, контакты, платёжные данные
- Базы данных работников (включая данные о зарплате, здоровье, дисциплинарных взысканиях)
- Системы видеонаблюдения на рабочем месте
- CRM и ERP-системы с персональными данными физических лиц
- Маркетинговые базы данных с профилями пользователей
Важно: Обработка специальных категорий данных - состояние здоровья, биометрия, данные о судимостях - требует отдельного разрешения Инспекции (статья 6 Закона). Начало обработки без разрешения влечёт штраф от 500 до 5 000 лари и предписание об уничтожении данных. Для медицинских компаний, HR-платформ и систем контроля доступа с биометрией это критический риск.
Пункт 3. Назначение ответственного за защиту данных (DPO)
Назначение ответственного за защиту данных (Data Protection Officer, DPO) обязательно для компаний, обрабатывающих данные в крупном масштабе или обрабатывающих специальные категории данных - это требование статьи 27 Закона о защите персональных данных в редакции 2023 года. Для международных компаний DPO может быть назначен на уровне группы, но должен быть доступен для Инспекции в Грузии. Срок уведомления Инспекции о назначении DPO - 10 рабочих дней.
Функции DPO в грузинском праве включают: контроль соответствия внутренних процессов требованиям закона, взаимодействие с Инспекцией, проведение оценки рисков при внедрении новых систем обработки данных, обучение персонала.
Важно: Отсутствие назначенного DPO при наличии обязанности его назначить квалифицируется Инспекцией как систематическое нарушение. При проверке это увеличивает базовый штраф и может повлечь приостановление обработки данных до устранения нарушения - то есть фактическую остановку CRM или HR-системы компании.
Частая ошибка международных компаний - назначение DPO «на бумаге» без реальных полномочий и бюджета. Инспекция при проверке запрашивает доказательства фактической деятельности DPO: журналы обращений, отчёты об оценке рисков, программы обучения.
Пункт 4. Политика информационной безопасности и внутренние регламенты
Наличие задокументированной политики информационной безопасности - обязательное требование для операторов персональных данных в Грузии согласно статье 26 Закона о защите персональных данных. Политика должна описывать технические и организационные меры защиты, порядок доступа к данным, процедуру реагирования на инциденты и сроки хранения данных. Для компаний с более чем 50 сотрудниками Инспекция ожидает наличия отдельного регламента по работе с персональными данными работников.
Минимальный пакет внутренних документов:
- Политика защиты персональных данных (Privacy Policy для внешних пользователей)
- Внутренний регламент обработки данных работников
- Процедура реагирования на инциденты (Incident Response Plan)
- Соглашения о конфиденциальности с сотрудниками и подрядчиками
- Реестр операций по обработке данных (Records of Processing Activities)
Важно: Политика конфиденциальности на сайте компании, написанная по шаблону для российского или европейского рынка, не соответствует требованиям грузинского закона. Инспекция при проверке оценивает соответствие политики именно грузинскому законодательству. Несоответствие - основание для предписания и штрафа от 1 000 до 10 000 лари.
Компании из Тбилиси (осень 2025) помогли привести пакет внутренних документов в соответствие с требованиями Инспекции после получения предписания. Первоначально компания использовала GDPR-совместимые документы, адаптированные для грузинского рынка формально. После аудита и переработки 7 документов предписание было снято, штраф составил 2 000 лари вместо первоначально заявленных 8 000 лари.
Чтобы получить чек-лист комплаенс-требований по кибербезопасности и защите данных для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Документы существуют в большинстве международных компаний - но их соответствие именно грузинским требованиям проверяется редко. Инспекция проводит плановые и внеплановые проверки; внеплановая может быть инициирована жалобой работника или клиента.
Получили предписание Инспекции по защите персональных данных или готовитесь к проверке?Если Инспекция направила запрос документов или уведомление о проверке - юристы Inter Law Firm проведут аудит текущего состояния комплаенса, подготовят недостающие документы и представят интересы компании в административном порядке. Сроки на устранение нарушений по предписанию ограничены - как правило, 30 дней.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Пункт 5. Технические меры защиты: минимальный стандарт по грузинскому праву
Закон о защите персональных данных Грузии не содержит исчерпывающего перечня технических мер, но статья 26 устанавливает принцип соразмерности: меры защиты должны соответствовать характеру обрабатываемых данных и рискам. Инспекция в своих методических рекомендациях ориентируется на международные стандарты ISO 27001 и NIST CSF как на ориентир достаточности. Для операторов критической инфраструктуры Закон о кибербезопасности устанавливает дополнительные требования, контролируемые CERT Georgia.
Минимальный технический стандарт, который Инспекция считает достаточным для большинства компаний:
- Шифрование персональных данных при хранении и передаче (TLS 1.2+, AES-256 или аналог)
- Разграничение доступа по принципу минимальных привилегий (role-based access control)
- Двухфакторная аутентификация для систем с персональными данными
- Регулярное резервное копирование с проверкой восстановления (не реже 1 раза в квартал)
- Журналирование доступа к персональным данным с хранением логов не менее 1 года
Риск: Хранение персональных данных клиентов в незашифрованных таблицах Excel или Google Sheets без контроля доступа - наиболее частое нарушение, выявляемое при проверках Инспекции. При утечке таких данных штраф рассчитывается от максимального предела (до 20 000 лари), поскольку отсутствие базовых технических мер квалифицируется как грубое нарушение статьи 26 Закона.
В отличие от российского законодательства (где технические требования детализированы в приказах ФСТЭК и ФСБ), грузинское право оставляет выбор конкретных мер на усмотрение компании - но перекладывает на неё бремя доказывания их достаточности при инциденте.
Пункт 6. Уведомление об инцидентах: сроки и порядок
Обязанность уведомить Инспекцию по защите персональных данных об инциденте, повлёкшем утечку или несанкционированный доступ к персональным данным, установлена статьёй 28 Закона о защите персональных данных. Срок уведомления - 72 часа с момента обнаружения инцидента. Если инцидент затрагивает критическую информационную инфраструктуру, параллельно уведомляется CERT Georgia через портал cert.gov.ge.
Уведомление должно содержать: описание инцидента и предположительное число затронутых лиц, категории скомпрометированных данных, принятые меры по локализации, контактные данные DPO или ответственного лица.
Важно: Нарушение 72-часового срока уведомления - самостоятельное нарушение, которое суммируется со штрафом за сам инцидент. На практике компании, самостоятельно уведомившие Инспекцию в срок и представившие план устранения, получают штраф в 2-3 раза ниже, чем компании, у которых инцидент был выявлен в ходе проверки. Промедление с уведомлением также лишает компанию возможности ссылаться на добросовестность при оценке размера санкций.
Компании из Батуми (зима 2024) помогли правильно уведомить Инспекцию после кибератаки на корпоративную почту. Своевременное уведомление и представленный план устранения позволили ограничить санкции предписанием и штрафом в 3 500 лари - при том что первоначальная оценка риска предполагала штраф до 15 000 лари.
Описанный порядок применим к стандартным инцидентам. Если утечка данных затрагивает несколько юрисдикций или данные граждан ЕС - параллельно применяются требования GDPR с иными сроками и органами уведомления.
Открываете офис в Грузии или нанимаете сотрудников и работаете с данными клиентов?Нужен правовой аудит грузинской структуры перед запуском или отчётностью перед головным офисом? Юристы Inter Law Firm проведут оценку текущего состояния комплаенса по защите данных, подготовят недостающие документы и выстроят процедуру реагирования на инциденты в соответствии с грузинским законодательством.Обсудить ситуацию →info@interlawfirm.ru · +995 32 2 000 000 · WhatsApp · Telegram
Пункт 7. Мониторинг работников: что разрешено грузинским законом
Мониторинг работников в Грузии регулируется одновременно Трудовым кодексом (статья 48) и Законом о защите персональных данных. Работодатель вправе осуществлять мониторинг рабочего оборудования и корпоративных коммуникаций при соблюдении трёх условий: работник уведомлён о мониторинге в письменной форме, мониторинг ограничен рабочим временем и рабочими устройствами, цель мониторинга соразмерна вмешательству в частную жизнь.
Разрешённые формы мониторинга:
- Видеонаблюдение в рабочих зонах (кроме санузлов, комнат отдыха, переговорных без уведомления)
- Мониторинг корпоративной электронной почты и мессенджеров на корпоративных устройствах
- Контроль посещаемости через СКУД (системы контроля и управления доступом)
- Запись звонков в колл-центрах при условии уведомления клиентов
Риск: Мониторинг личных устройств работников, даже подключённых к корпоративной сети, без их явного согласия нарушает статью 48 Трудового кодекса и статью 5 Закона о защите персональных данных. Жалоба одного работника в Инспекцию достаточна для инициирования внеплановой проверки всей системы обработки данных компании. На практике такие проверки выявляют нарушения, не связанные с исходной жалобой, и влекут комплексные санкции.
Направления практики по теме
- Защита персональных данных и IT-комплаенс - аудит, документация, сопровождение проверок Инспекции
- Трудовое право для работодателей - мониторинг работников, трудовые договоры, внутренние регламенты
- Санкционный комплаенс и регуляторные требования - комплексный комплаенс для международных компаний в Грузии
Частые вопросы
1. Какой штраф грозит за утечку персональных данных в Грузии?
Инспекция по защите персональных данных Грузии вправе назначить штраф от 500 до 20 000 лари за нарушение требований Закона о защите персональных данных - размер определяется тяжестью нарушения, числом затронутых лиц и наличием умысла. Максимальный штраф в 20 000 лари применяется при грубых нарушениях: отсутствии технических мер защиты, обработке данных без правового основания или нарушении срока уведомления об инциденте. Помимо штрафа, Инспекция вправе вынести предписание об уничтожении данных или приостановлении их обработки - это означает фактическую остановку CRM, HR-системы или маркетинговой базы данных до устранения нарушений.
2. Обязана ли иностранная компания с офисом в Грузии регистрировать обработку данных в Инспекции?
Иностранная компания, обрабатывающая персональные данные на территории Грузии, обязана уведомить Инспекцию по защите персональных данных в соответствии со статьёй 25 Закона о защите персональных данных - независимо от юрисдикции регистрации головного офиса. Критерий применимости - место обработки данных, а не место регистрации компании. Срок уведомления составляет 10 рабочих дней с момента начала обработки данных. Компании, работающие в режиме Virtual Zone или International Company Status, не освобождены от этого требования - налоговые льготы не распространяются на обязательства по персональным данным.
3. Какие риски несёт компания при несоблюдении требований кибербезопасности в Грузии?
Несоблюдение требований кибербезопасности в Грузии влечёт три уровня последствий. Административный уровень: штрафы Инспекции по защите персональных данных до 20 000 лари и предписания об устранении нарушений. Операционный уровень: приостановление обработки данных по решению Инспекции - фактическая остановка бизнес-процессов, зависящих от CRM, HR-систем или маркетинговых баз данных. Репутационный уровень: Инспекция публикует сведения о нарушителях на официальном сайте, что создаёт риски для деловой репутации компании перед клиентами и партнёрами. Для операторов критической инфраструктуры дополнительно применяются санкции по Закону о кибербезопасности, контролируемые CERT Georgia.
Кибербезопасность в Грузии - это не только технический вопрос, но и правовое обязательство с конкретными сроками, органами контроля и санкциями. Компании, выстроившие комплаенс превентивно, платят за аудит и документацию в разы меньше, чем компании, получившие предписание Инспекции или столкнувшиеся с утечкой данных.
Юридическая фирма Inter Law Firm сопровождает клиентов в Грузии по вопросам защиты персональных данных, IT-комплаенса и кибербезопасности. Мы можем помочь с регистрацией обработки данных в Инспекции, назначением DPO, подготовкой пакета внутренних документов, аудитом текущего состояния комплаенса и представлением интересов при проверках.
Чтобы получить чек-лист обязательных мер кибербезопасности для международных компаний в Грузии, отправьте запрос на info@interlawfirm.ru
Нужен правовой аудит грузинской структуры по кибербезопасности и защите данных?Юристы Inter Law Firm оценят текущее состояние комплаенса, выявят пробелы и подготовят план устранения - без гарантий конкретного результата, но с опорой на актуальное грузинское законодательство и практику Инспекции.Юридическая фирма Inter Law Firm · Тбилиси · Грузинское и международное правоОбсудить мою ситуацию →info@interlawfirm.ru +995 32 2 000 000 · WhatsApp · Telegram
Тамара Беридзе, Юрист, IT и интеллектуальная собственность, info@interlawfirm.ru 4 мая 2026 года